好きな所から読む
ゼロトラストネットワークとは、一般的に馴染みのないキーワードかもしれませんが、アメリカの調査会社フォレスターリサーチ(Forrester Research)の調査員キンダーバーグ氏により提唱された次世代のネットワークセキュリティの概念のことです。
ゼロトラストネットワークでは社内ネットワークは安全であるという前提の下で境界を守るセキュリティ対策ではありません。逆に、全て信頼できない(ゼロトラスト)ことを前提として、全てのデバイスのトラフィックの検査やログの取得を行うという性悪説に基づいたアプローチということです。そのアプローチに則って提供される、ZTNAという製品も近年では登場してきました。
本記事では、今後益々注目が集まるゼロトラストを国家機関・政府機関が導入する際にどのような点がポイントになるのか、どうして政府もゼロトラストの導入を検討しているのかについて、詳細を解説していきます。
⇒ゼロトラストの原理・原則や実現方法に関する資料を無料プレゼント中!
次世代のセキュリティシステムに政府も注目
働き方改革を始め、官民連携等が今後の日本社会において一つの大きなテーマとなっています。これは、コロナ禍により取り組みが頓挫していた官民連携等が再び必要性に迫られたということです。これらを推進するには、これまでの境界型セキュリティの考え方だけでは、その実現が困難と言わざるを得ません。
そこで、ゼロトラストを導入することによるメリットが注目されています。
ゼロトラストとはそもそも何か
ゼロトラストとは、前提として100%信頼できるものは何もないという考え方をベースにしています。
昨今は、企業の外部からの攻撃だけではなく、企業内で働いている従業員からの不正侵入、企業内の端末からの不正アクセスなど、様々な角度から脅威の可能性があるとうことです。起こり得る最悪の事態を想定し、情報漏洩への対策方法を講じることが求められます。ゆえに今後のIT業界において最も注目されるトレンドの一つと言われています。
政府がゼロトラストを導入した背景とは
政府は今後のセキュリティ対策の一環としてゼロトラストの適用を進めています。それは、旧来のサイバー攻撃からの防御策では十分ではないと判断したからです。そもそもコロナ対応は今後も継続して対応しなければならず、コロナ対応に人員を割いている間に便乗し、着々と不正アクセスなどを進めていくことが予想されるためです。
政府が提唱するゼロトラストの具体的な取り組み
- パブリッククラウド利用可能システムと利用不可システムの分離
- システムのクラウド化徹底とネットワークセキュリティ依存の最小化
- エンドポイントのセキュリティ強化
- セキュリティ対策のクラウド化
- 認証、及び認可の動的管理の一元化
パブリッククラウドの利用
パブリッククラウドとは、クラウドコンピューティング環境を、企業や組織などの不特定多数のユーザにインターネットを通じて提供するサービスです。特に働き方が多様化した現代においては、重要な視点と言えるでしょう。また、働き方だけでなく一つの成果を求める為に様々な雇用形態が創出されています。直接雇用、派遣労働者、業務委託者などが想定されます。そのような多くの雇用形態に対応する為にも当該サービスは検討に値するということです。
働き方改革の推進
働き方改革においては、多様な働き方の推進等が掲げられ、特定の場所や直接の雇用関係に留まらず、ダイバーシティ(多様性)を尊重する風土が形成され始めました。そうなると今までのITツールのみでは、労務管理に限界が見え始めており、その弱点に付け込まれかねないとの指摘があります。
また、コロナウイルス蔓延により、有無を言わさず始まった在宅勤務を始めとするテレワークにおいても旧来のツールのみでは刺症をきたしています。
そこで、ニューノーマル(新常態)を踏まえた労務管理が必須となっており、ゼロトラストの導入も一案とされているということです。当然、労働関係法令などの法律を作り、さらに法律を発出する政府が主導してニューノーマルを踏まえたIT運用を先導していくことが望まれます。
デジタル・ガバメントによる官民連携
デジタルカバメントとは、単に情報システムを構築することや、手続をオ ンライン化・ペーパーレス化すること、そして、手続コストを削減するということのみを意味するものではありません。具体的には、行政サービスや行政データの連携に関する各種標準データ連携のためのシステム基盤を整備することによって、官民を通じたデータ流通を促進することです。
官民では情報アクセスに格差があり、その差には高い壁がありました。しかし、今回のコロナ禍により、その不合理さゆえに諸外国と比べて圧倒的に事務手続きの迅速性に欠け、経済にまで悪影響が及んでいました。これは、当然看過できない実態であり、官民連携し是正を図っていくべき問題と言えるでしょう。
政府組織によるスパイ活動の活発化
スパイ活動については、特に民よりも官の方が保有する情報の機密性が高いことが多いでしょう。そこで、セキュリティ対策には民よりも官の方がより高いセキュリティ機能を備えておくことが適切と考えます。また、近年では諸外国から政府を挙げての不適切なスパイ活動が行われているとの情報もあり、それに対する対抗策を備えておくことの必要性が叫ばれています。
現代の情報化社会では一度、情報が流出してしまうとそれをネット上の世界から100%消し去ることは不可能と言われています。よって、まずは官主導でセキュリティ対策に対する必要度を指名していくことが本質的です。
ゼロトラストは冒頭で記載した通り、前提が何も信用していないことです。よって、可能な限りバイアスが入り込まないことから、今までにない画期的な対策にもなり得ます。
政府によるゼロトラスト導入の課題
ゼロトラストの考え方は単純と言えます。しかし、何も信頼しないことが前提となるため導入と管理が複雑になり、リソースを大量に消費する恐れがあるとの指摘があります。
また、現場で実際に必要なレベルを超えるセキュリティが設けられる可能性もあります。よってセキュリティ機能が過度になり、業務効率が損なわれる可能性も否定できません。特に官で導入した場合、税金の無駄遣いとの批判にあう可能性もあり、決断するに際してもハードルがあると言えるでしょう。
システムのクラウド化を徹底できるか
官の場合は国会審議を始め、現在での紙ベースでの運用が大半を占め、かつ現在の(ITなどの)トレンドと言われるツールに対応が困難となり得る層へも配慮しないわけにはいきません。そうなると、特にベテラン層から(ゼロトラストを始め新しい取り組みに足して)納得感が得られるかは懐疑的にならざるを得ません。
信頼できるクラウドへの移行が必要
クラウドは本当に安全なのか?との議論はあるものの相対的には安全と考えます。第一には、規模のメリットを生かしてシステム全体のセキュリティや信頼性は高いと言えるでしょう。やはり、自社内のオンプレミスのサーバーのみでデータを保存していた場合、仮に自社がハッカーの標的となってしまった場合、その時は全データが不正利用の標的になり得るということです。そこで、クラウドであってもすべてが信頼できるというわけではなく、クラウドの中でも総合考慮し、最も信頼のおけるクラウドへ移行することが適切と言えます。
エンドポイントセキュリティの強化
エンドポイントとは終点を意味します。それは、 セキュリティ用語ではネットワークに接続されたサーバー、パソコン、スマートフォンなどの端末を指します。
働き方改革によって、在宅勤務を始めとしたテレワークの機会が幅広く普及してきました。従来エンドポイントセキュリティと言えば、社内のサーバーやデスクトップPCへの対策を行っていれば問題ありませんでした。しかし、そもそも従業員のオフィスへの出社の割合が減り、自宅や外出先でノートPCやタブレットなどを用いて業務を行う機会が増えていると言えます。そこで、エンドポイント環境の範囲が広がってきていることから、エンドポイントセキュリティの強化は必須と言える状況です。尚、このようなリスクについてはシャドーITという形で注意喚起されている状況です。
IT業界を筆頭に社外外からネットワークに接続するノートPCやタブレットなどのエンドポイントについてもセキュリティ対策が必要となってきたことにより、エンドポイントセキュリティへの関心が高まっています。
また、インターネットを経由しないマルウェアへの感染に対しては、ネットワークの入り口を防御するゲートウェイセキュリティでは対処が困難です。そのためにネットワーク上のセキュリティに加えて、エンドポイントを守るセキュリティ対策の重要性が高まっているということです。
認可の動的管理と認証の一元化
認証の一元化については、複数の認証ポイントを設置すると導入当初は目的を意識できているものの、慣れが生じてしまった場合には正規の運用から外れた取り扱いが黙認されてしまうなどが予想されます。
WebシステムやC/Sシステムなどが混在した環境でアカウントの一元管理をすることのメリットを記載します。その中で「認証ディレクトリ」という方法があります。認証ディレクトリとは、一元化したユーザー情報(ディレクトリ)とアプリケーションシステムを連携して運用する仕組みのことです。Microsoft社が提供するActiveDirectoryもこの製品群の一つですね。
認証ディレクトリを実現するには,原則として、ユーザー全員のアカウント情報を一元的に管理する「統合ディレクトリ」を構築する必要があります。統合ディレクトリでは,すべてのIDやパスワードなどのアカウント情報を管理することができます。
しかし、統合ディレクトリを構築しなくとも、ユーザー全員のアカウント情報を一元的に管理する方法はあります。それは、メタディレクトリです。メタディレクトリは,分散しているディレクトリやユーザー管理用データベースを連携した,仮想的な一つのディレクトリです。メタディレクトリを使用しても一元化したユーザー管理ができます。
政府共通プラットフォームに採用されたAWS
アマゾン・ウェブ・サービス (AWS) は、包括的で広く採用されているクラウドプラットフォームであり、世界中のデータセンターからフル機能のサービスを提供しています。スタートアップを始め、大企業、主要な政府機関など多くのユーザーが使用してコスト削減を達成しています。
今では日本の企業の多くが利用するなど、急速に普及が進むクラウドサービスへの安心感を得るためのベターな選択肢と言えます。
AWSの決め手はセキュリティ機能だった
AWS は、データを始め、不正アクセスから保護するためのセキュリティサービスを提供しています。AWS のデータ保護サービスは、アカウント、ワークロードを継続的にモニタリングしており、かつ保護するための暗号化とキー管理および脅威検出を行っています。
特に大きな点として継続的な(対脅威への)監視システムと言えるでしょう。今では日夜時間帯を問わず様々な攻撃が仕掛けられる時代となりました。それに対抗するにはAWS が誇る高精度かつ継続的な監視システムは大きなアドバンテージと言えます。ハッカーなどは企業の弱い部分をついてサイバー攻撃を仕掛けてきます。隙を見せない、また、隙を作らないという意味でも導入の決め手となり得る点です。
政府とゼロトラストの今後
ゼロトラストの考え方の根源は「人間は本当に信頼できるのか」ということです。不正を考えるのも実行するのも人の手を介して行うこととなります。侵入を許してしまう背景には残念ながら信頼が絡んでいる点は否めません。よって、厳しい姿勢でゼロトラスト(信頼しないこと)が必要という発想です。
更に、今後はWithコロナが前提での対応が求められます。そして、旧来の常識に戻ることはないとの指摘も枚挙に暇がありません。これは政府主導で情報発信していくべき点ですが、セキュリティリスクの増加、(場所を問わない働き方が定着してきたことから)不用意なデータの持ち出し等が増加しています。これまで構築されてきた「オフィス」という物理的な信用の枠組みがなくなった点を考慮しても、より機密性の高い情報を扱う政府としては、ゼロトラストへの舵切りは早期に行っていくことが適切と言えます。
